Recientemente, mi defensor de Windows me advirtió sobre un posible programa malicioso que encontró en mi PC. Tengo problemas para interpretar los datos que me sirve windows defender y no he encontrado ninguna documentación de microsoft con respecto a ProcessStart.
Los informes de Windows Defender son los siguientes (mi salida está en holandés, así que la traduje al inglés):
- Solución insuficiente:
Detectado: HackTool:Win32/Wpakill.AR!MTB
Estado: Fallo
Es posible que esta amenaza o esta aplicación no se restablezca por completo.
Fecha: 9-2-2022 20:01
Detalles: este programa puede mostrar un comportamiento no deseado
Elementos involucrados:
proceso: pid:7576,Inicio del proceso:132889069092372720
- Amenaza eliminada o restaurada:
Detectado: HackTool:Win32/Wpakill.AR!MTB
Estado: eliminado o devuelto
Esta amenaza o aplicación se eliminó de la cuarentena o se restauró en la computadora.
Fecha: 9-2-2022 20:01
Detalles: este programa puede mostrar un comportamiento no deseado
Elementos involucrados:
proceso: pid: 708, inicio del proceso: 132889068914364653
Ahora, al poner "HackTool:Win32/Wpakill.AR!MTB" en Google, la verdadera gravedad de mi problema sigue siendo un poco vaga. La carga útil real puede haberse ejecutado o no. Esto puede tener o no efectos peligrosos en su sistema operativo. Sin embargo, mi computadora sufre síntomas extraños como tiempo de inicio lento, fallas aleatorias, picos de CPU y respuestas lentas de las aplicaciones. Este ha sido el caso desde hace varios años, a pesar de mis análisis regulares de malwarebytes y operaciones CHKDSK, por lo que es un poco difícil vincular esto con un evento específico.
He rastreado el PIDS con la lista de tareas.
tasklist /FI "PID eq 7576"
no se están ejecutando tareas con los criterios especificados
tasklist /FI "PID eq 708"
Nombre de imagen: SystemSettingsBroker.exe, PID: 708, Sesión: Consola, Sesión#: 1, Uso de memoria: 29.324 K
Al comprobar las propiedades del archivo SystemSettingsBroker.exe, se muestra que tiene la firma verificada de Microsoft SHA-256.
He buscado en Google: -Windows defender cómo interpretar startProcess -Windows defender startProcess -Especificación de elemento de Windows defender -Especificación de elemento de Windows defender startProcess
Mi interpretación de las cosas que encontré en línea me lleva a creer que el proceso Inicio es una entrada a un evento. Abrí mi visor de eventos y busqué todos los registros en la fecha especificada desde Windows Defender, pero no pude encontrar ninguna irregularidad. Luego intenté consultar los registros para la identificación de entrada usando:
wevtutil qe Application /q:132889069092372720
Ninguno
wevtutil qe Security /q:132889069092372720
Ninguno
wevtutil qe System /q:132889069092372720
Ninguno
Es muy probable que esté usando estos comandos incorrectamente. Sin embargo, me temo que soy demasiado inexperto para seguir investigando este problema sin ayuda. ¿Alguien puede darme una pista sobre cómo rastrear este valor mágico de proceso de inicio que ofrece Windows Defender?
Respuesta1
Veo esto de vez en cuando. Tengo aplicaciones y herramientas que a Windows Defender no le gustan.
Cuando Windows Defender detecta la aplicación infractora, debe revisar (en ese momento) y decidir:
(a) Esta es mi aplicación y puedo permitirla. Luego haga eso en la pantalla de Windows Defender; se presentará la opción.
(b) No sé qué es esto. Permita que Windows Defender ponga la aplicación en cuarentena.
Si la aplicación ha sido puesta en cuarentena, puede ir allí y liberarla si esa es la acción adecuada.
Todo el trabajo es manual: no existe una configuración general para dejar de atrapar tus cosas.
Aquí hay una captura de pantalla de mis aplicaciones permitidas.
